NIST 发布关于使用“行政令-关键软件”的安全措施指南

指南的目标和范围

近期频发的安全事件说明有必要更好地保护联邦机构本地、在云上以及其它地方为完成目标而使用的”EO-关键软件“的安全。尽管 “EO-关键软件”可能是按照所推荐的安全开发实践开发的，但仍然需要在运营环境中加以保护。人们越来越多地意识到，所有组织机构都应假设安全泄露事件将要发生或者已经发生，因此在任何时候，访问 ”EO-关键软件“ 必须仅限于所需权限。此外，必须持续监控异常或恶意活动。虽然阻止安全泄露事件仍然是“必做之事”，但拥有健壮的事件检测、响应和恢复能力也至关重要。这些能力有助于识别安全泄露事件、判断其影响范围、找到根本原因并迅速恢复正常运营，从而将对机构目标的破坏性降到最低。

本安全措施指南的范围是联邦机构对 “EO-关键软件”的使用。“EO-关键软件”的开发和收购不在范围内。这些安全措施旨在保护在机构运营环境中所部署的 “EO-关键软件”软件的使用安全。

NIST 为这些安全措施定义的目标如下：

1、 防止 “EO-关键软件” 和 “EO-关键软件平台“（EO-关键软件运行的平台，如端点、服务器和云资源”遭越权访问和使用。

2、保护 ”EO-关键软件“ 和 ”EO-关键软件平台“的机密性、完整性和可用性。

3、 找到并维护所部署的 ”EO-关键软件平台“ 以及在该平台上部署的软件，保护 ”EO-关键软件“遭利用。

4、快速检测、响应并从牵涉”EO-关键软件“和”EO-关键软件平台“的威胁和事件中快速恢复。

5、 加强对保护”EO-关键软件“和”EO-关键软件平台“安全的人为措施的了解和性能。

NIST 已找到满足这些目标的安全措施。这些“EO-关键软件使用的安全措施”意不在全面性，也不在于消除联邦机构现有要求和网络安全计划中对其它安全措施的需求。联邦机构应当继续保护 “EO-关键软件“所运行、用于管理网络供应链风险并执行零信任实践的系统和网络安全，而它们取决于根本的安全措施。列出这些安全措施的目的是通过定义一系列共同的安全目标来协助这些机构，优先考虑应被部署于保护 ”EO-关键软件使用“ 的安全措施。

相关问答

如下是节选的一些相关问答，完整版可见文末链接。

1、所有的安全措施是否适用于所有的EO-关键软件/strong>

由于软件开发性质或其它因素的原因，某种安全措施可能和特定的情境不相关。如果无法执行某种安全措施，则可找出并执行其它安全措施以缓解安全风险并达到所缺失安全措施旨在解决的结果。各机构仍然需要在所有网络安全计划中应用风险管理活动。

2、找到更多的EO-关键软件类型后会更新该指南吗/strong>

可能会。然而，EO-关键软件的所有安全措施有望应用于所有部署中的所有 EO-关键软件类型中。

3、 如何执行使用基于云的EO-关键软件的安全措施/strong>

CISA、GSA（美国总务署）的 FedRAMP 计划以及 OMB 目前正在开发联邦云安全战略和基于云的技术参照架构文档，以支持行政令中的第3节内容。云服务提供商可将使用EO-关键软件的相关安全措施应用于云环境中。

4、本指南和零信任架构的关系是什么/strong>

行政令的第3节要求每个联邦机构规划执行零信任架构。本指南中定义的所有EO-关键软件安全措施也是零信任架构的组件，尽管并不完整。各机构形成迁移至零信任架构的计划可将EO-关键软件使用的安全措施集成到规划中。

5、 目标3指出“保护数据的机密性、完整性和可用性”，那如果碰到并不需要保护所有这三种的情况应该如何处理，比如保护公开可用信息的机密性/strong>

各机构应当继续采取基于风险的数据保护方法，因此应该仅应用可降低风险的防护类型。例如，保护公开可用信息的机密性一般将无法降低风险，因此并非必要措施。

6、安全措施1.1中提到“验证者防假冒”一词是什么意思/strong>

“验证者防假冒“认证协议和凭据确保当用户或管理员尝试通过网络连接到EO-关键软件或EO-关键软件平台时，双方（个人和平台）都是合法的。“验证者防假冒“有助于防止自己的凭据遭钓鱼攻击而被盗，也帮助阻止攻击者使用被盗认证信息假冒用户或管理员。实现“验证者防假冒“的方法有多种，其中一种就是经客户端认证的传输层安全 (TLS)。

完整文档下载地址：https://www.nist.gov/system/files/documents/2021/07/09/Critical%20Software%20Use%20Security%20Measures%20Guidance.pdf

推荐阅读

NIST 按行政令关于加强软件供应链安全的要求，给出“关键软件”的定义及所含11类软件

美国 CISA 和 NIST 联合发布软件供应链攻击相关风险及缓解措施

NIST 发布首份物联网风险指南报告

原文链接

https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/security-measures-eo-critical-software-use-2

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

文章知识点与官方知识档案匹配，可进一步学习相关知识Java技能树首页概览92745 人正在系统学习中

来源：奇安信代码卫士